内部控制与风险管理知识分析作用.doc

I 136 CIA Part I 内部审计在治理 风险和控制中的作用内部审计在治理 风险和控制中的作用 目目录录 1 1 如如何何应应对对 C CI IA A 1 1 2 2 当当代代国国际际内内部部审审计计新新发发展展 2 2 2 1 传统观念 3 2 2 内部审计和内部控制的关系 3 2 3 内部审计定义关键词 4 2 4 21 世纪的内审行业 7 2 4 1 SOX 法案的出台背景 7 2 5 萨班斯 奥克斯利法案 简介 13 2 5 1 法案的目标 13 2 5 2 法案的措施 13 2 5 3 法案主要内容 14 2 6 内部控制 整体框架 的由来 17 2 6 1 COSO 内部控制 整体框架 1992 18 II 136 2 6 2 企业内部控制发展的几个阶段 内部控制可靠性模型 20 2 6 3 企业目标 风险和内部控制的关系 21 2 6 4 COSO 框架的三个维度为评价内部控制提供了标准 22 2 6 5 五大要素的具体说明 23 2 7 审计服务类型 27 2 7 1 尽职调查审计 Due Diligence Audits 27 2 7 2 质量审计 27 2 7 3 第三方审计 28 2 7 4 合同审计 28 2 7 5 项目和绩效审计业务 30 2 7 6 运 经 营审计业务 31 2 8 审计工具 37 2 8 1 通用审计软件 GAS 37 2 8 2 测试数据法 38 2 8 3 整合测试工具 ITF 讲解 39 2 8 4 嵌入式审计模块 EAM 40 2 8 5 平行模拟法 41 2 8 6 总结 42 2 9 信息技术审计 计算机辅助审计技术及应用 47 2 9 1 IT 审计方法三过程 47 2 9 2 定义计算机辅助审计技术 48 2 9 3 可用的 CAAT 工具以及技巧 49 2 9 4 用于数据提取与分析的计算机辅助审计工具和技术 49 3 3 国国际际内内部部审审计计专专业业实实务务框框架架简简介介 5151 3 1 关于胜任能力 能力素质的认识 53 3 1 1 中国会计师行业的胜任能力建设问题 54 3 1 2 关于内部审计人员胜任能力框架 55 3 2 实务框架 PROFESSIONAL PRACTICES FRAMEWORK 57 3 2 1 标准 58 3 2 2 1000 系列属性标准 Attribute Standards 59 3 2 3 2000 系列工作标准 Performance Standards 60 3 2 4 职业道德规范 62 3 2 5 PPF 总结 62 4 4 遵遵守守 I II IA A 的的属属性性标标准准 6565 4 1 1000 目标 权限和责任 65 4 1 1 1000 目标 权限和职责 65 4 2 1100 独立性和客观性 68 4 2 1 1100 独立性和客观性 69 4 2 2 1110 组织的独立性 69 4 2 3 1120 个人的客观性 69 4 2 4 1130 独立性或客观性受损 70 4 3 1200 熟练程度和应有的职业审慎 73 4 3 1 1200 熟练程度和应有的职业审慎 73 4 3 2 1210 熟练程度 73 4 3 3 1220 应有的职业审慎 75 III 136 4 3 4 1230 持续的职业发展 75 4 4 1300 质量保障和改进方案 79 4 4 1 1300 质量保障和改进方案 79 4 4 2 1310 质量方案评估 79 4 4 3 1320 有关质量方案的报告 79 4 4 4 1330 运用 根据标准开展业务 的声明 80 4 4 5 1340 披露违规行为 80 4 5 IIA 职业道德规范 82 4 5 1 IIA 职业道德规范 原则 82 4 5 2 IIA 职业道德规范 行为规则 82 5 5 建建立立风风险险导导向向计计划划 确确定定内内部部审审计计活活动动的的重重点点 8585 5 1 2000 管理内部审计活动 86 5 2 2010 计划 86 5 3 2020 沟通和批准 90 5 4 2030 资源管理 91 5 5 2040 政策和程序 92 5 6 2050 协调 93 5 7 2060 向董事会和高层管理者报告 95 6 6 理理解解内内部部审审计计活活动动在在组组织织治治理理中中的的角角色色 9999 6 1 2100 工作性质 100 6 2 2110 风险管理 103 6 3 2120 控制 105 6 3 1 控制的自我评估 CSA 108 6 3 2 其他实务公告 111 6 4 2130 治理 112 7 7 履履行行其其他他的的内内部部审审计计角角色色和和职职责责 113113 7 1 实务公告 2100 2 信息安全 114 7 2 实务公告 2100 3 内部审计在风险管理过程中的角色 114 7 3 实务公告 2100 4 内部审计在尚未建立风险管理过程的组织中承担的角色 115 7 4 实务公告 2100 5 在评价法定的合规性项目时的法律考虑事项 115 7 5 实务公告 2100 6 电子商务活动中的控制和审计含义 116 8 8 治理 风险和控制知识要点治理 风险和控制知识要点 122122 8 1 公司治理原则 122 8 2 可以选择的控制框架 123 8 2 1 目标 123 8 2 2 承诺 124 8 2 3 能力 124 8 2 4 监控与学习 124 8 3 风险管理概念和技术 124 8 3 1 ERM 定义 125 8 3 2 ERM 目标和组成要素 125 9 9 计划业务计划业务 129129 IV 136 9 1 2200 业务计划 129 9 2 业务目标和范围 131 9 3 业务资源配置 134 9 4 业务工作方案 135 1 136 1 1 如如何何应应对对 C CI IA A 1 一本好的考试复习用书 通读精读各一遍 2 掌握基本概念 基本理念 不要去死记 理解就行 3 合理安排自己的时间 理论卷和习题卷相结合 看完一部分 就去做与此相关的习题 不要看答案 即便选不出答案 也找一个最能说服自己的答案 4 答错的每一题道 都说明自己在某个环节存在薄弱点 某方面的概念没有搞清楚 5 不要去背题 不要搞题海战术 认真做好每一道题 分析每一个选项 理解才是最重 要的 6 切记 CIA 考题考的是理论点及其应用 考题可以千变万化 但考点雷同 拿下每 一个考点才是最切实际的办法 7 看出关键词 运用一定的考试技巧 学会有效分析题 做对题的本事 8 不用去道听途说 心态要平和 每年的CIA 考题中国地区是没有权力公布的 这 是中国政府对IIA 的承诺 也是每一位CIA 考生对 IIA 的承诺 例 某位员工长年不休假 加班工作 这有可能表明 a 单位工作任务重 该员工只能放弃休假 经常加班 b 该员工具有很好的敬业精神 c 单位内部有规定 要求员工加班并尽可能放弃休假 d 单位内部控制薄弱 该员工有可能存在舞弊行为 答案 D 基本的控制活动 交易授权 职务分离 作业监督 资产接触限制 会计记录 独立 性核对 不不相相容容职职务务相相互互分分离离控控制制 示示例例 2 136 工工作作职职责责 存存在在的的风风险险 同时负责现金的收取和应 收账款的会计记录 可能会通过注销应收账款和截留应收账款等调节账簿的方法来 私自挪用现金 同时负责购货订单的审批 和货物的收取 可能以组织的名义为个人购入货物 在收取货物时利用职务之 便将货物占为己有 同时不向会计部门递交原始凭证或者在原 始凭证上反映虚假信息 同时负责付款的审批和购 货订单签发与审核 可能会伪造购货业务并支付货款 从而贪污现金 2 例题 以下哪项控制薄弱环节最有可能致使舞弊产生 a 计算机化信息管理系统合同期已满的雇员的注册账户没有立即取消 b 负责现金记录的核对工作和银行存款工作的雇员同时负责所有现销工作 c 无论什么时候到货 某雇员都负责将辨别性信息输入存货数据库 经理定期将库存 记录同现有的货物进行比较 d 由于人手短缺以及优先考虑事项存在利益冲突 用以核实永续库存系统的实物清点 工作经常推迟 对于组织而言 现金收付职能必须与相应的现金记录职能分离 目的在于 a 确保现金收付的实物防护安全 b 在现金收支的最初确定责任 c 避免现金坐支 d d 避避免免挪挪用用现现金金 答案 D 2 2 当当代代国国际际内内部部审审计计新新发发展展 这样安排 是为了让广大学员 1 认识内审 what how why 2 明白内审可以为组织带来效益 为组织增值 也能提升个人的价值 3 重重视视内内审审是是公公司司治治理理的的一一个个重重要要手手段段 地位的提升 4 了解建立成功内审职能的重要因素 能力素质 道德规范 工具运用 5 充分了解 CIA 考试的知识点 以及难点 重点 6 明确考试动机 把握考试心态 7 去掉考前准备的浮躁心理 去掉考试神秘感 3 136 2 12 1 传统观念传统观念 对内部审计的一些传统观念 成本中心 1 非增值部门 负责 寻找麻烦 的工作 小事化大 工作不受重视 是一个可有可无的部门 上述观念在中国很具普遍性 核心原因是对内内部部审审计计的的定定位位不不明明晰晰 从从业业人人员员能能力力 素素质质不不匹匹配配 造成的 如果企业不设立内审部门 或者内部工作不到位 董事会 高管层只 能依靠各主要业务部门负责人来评价各部门执行内部控制过程的优劣 而这将导致 内部控制缺乏客观性 可能因其它工作压力而被忽视 董事会得到的信心保证大减 经营风险上升 内部控制过程严重崩溃 2 22 2 内部审计和内部控制的关系内部审计和内部控制的关系 1939 年 AICPA 第 1 号审计程序公告 1949 年 第一个内部控制定义 1977 年 FCPA 1992 年 COSO 2002 年 SOX404 2004 年 PCAOB 第 2 号审计准则 企业的管理层大多不会亲自对企业每一部分运营工作进行控制 一般会依赖企业系统 中的内部控制 代替其执行控制管理的工作 而这就容易产生 代理 2人 的问题 所以 高层管理者需要委派独立的人员 代他们履行职责 审核企业的所有内部控制 过程是否正常运转 早期的内部审计从财务审计向运营审计的转变是意义深远而长久性的 内部审计师早期的目标主要是围绕资资产产的的安安全全保保障障 全美产业研究委员会对内部 审计的早期动机研究 20 世纪 40 年代 保护公司财产和察觉舞弊行为是内部审计的主要目标 因此 审计师们将他们的注意 力主要集中在对财务记录的检查和对那些很容易被盗用的资产的确认上 几十年前在管理 人员中一个非常流行的观点就是 审计方案的主要目的就是从心理上威慑做错事的员工 1 通常分为成本中心 收入中心和利润中心三类 2 委托 代理关系 可能会出现委托代理的背离 4 136 20 世纪 40 年代 曾经由内部审计师开展的会计记录核对工作由自动化查验程序完 成 内部审计师开始拓展审计范围 超出传统的财务审计范畴 他们努力转向通过运用各 种方法来辅助管理层 1 19 94 48 8 年年 阿阿瑟瑟 肯肯特特首首次次在在 内内部部审审计计师师 杂杂志志提提出出 运运营营 审审计计 的的概概念念 到 1975 年 IIA 的调查表明 95 的受调查人员都在开展运营审计 运营审计的 目的是判断运营的效率 效果和经济性 这份研究还发现审计时间中有51 用于运 营审计 1957 年 IIA 内部审计职责声明 检查和评价会计 财务以及运营控制的合理性 适当性和适用性 确定对规定政策 计划和程序的遵循情况 确定对组织各类资产的负责程度以及免于各类损失的保障程度 确定组织内部所产生的会计及其数据的可靠性 评价履行职责的工作质量 1963 年全美产业研究委员会对内部审计目标的研究表明 确定内部控制系统的适当性 调查对组织政策和程序的遵循情况 确认资产的存在性 确保保持对资产的合理保障或发现舞弊行为 核对会计和报告系统的可靠性 向管理层报告有关的发现并在必要时建议纠正措施 事实上 内部审计应该是 是一种独立 客观的确认和咨询活动 旨在增加组织的价值和改善组织的运营 它通 过应用系统化 规范化的方法 评价并改善风险管理 控制和治理过程的效果 帮助组织 实现其目标 国际内部审计师协会 IIA 1999 2 32 3 内部审计定义关键词内部审计定义关键词 独立的 客观的 确认和咨询服务 增值 改善运营 帮助组织实现目标 确确认认服服务务 为了对组织的风险管理 控制和治理过程提供独立的评估而客观检查证据 的活动 范例可以包括财务审计 运营审计 绩效审计 合规性审计 系统安全审计和尽 职审计 咨咨询询服服务务 是一种顾问及相应的客户服务活动 这种服务的性质和范围通过与客户协 商确定 意在使内部审计师不承担管理责任的同时 为组织增值以及改善组织的治理 风 5 136 险管理和控制过程 范例可以包括商议 建议 协调和培训等 独独立立性性 不会威胁客观性或客观性外表的情况 这种对对客客观观性性的的威威胁胁一一定定要要在在内内 部部审审计计师师 业业务务 职职能能和和组组织织的的层层面面进进行行管管理理 客客观观性性 是一种无偏的精神姿态 它要求内部审计师在开展业务时 对他们的工作成 果持有诚实的信念 没有重大的质量妥协 客观性要求内部审计师不能把对其他事务的判 断凌驾于对审计事务的判断之上 内部审计定义 1993 内部审计是组织内部设立并服务于组织的一种独立的评价活 动 它是一种控制 通过检查和评价其他控制的适当性和有效性来发挥作用 内部审计的目的是协助组织的管理层有效地履行其职责 为此 内部审计向他们提供 与所审核的活动有关的分析 评价 建议 忠告和信息 内部审计的目标包括以合理的成本促进有效的控制 变变化化 老老定定义义 新新定定义义 地地位位 独立的 独立的 客观的 性性质质 评价活动 确认和咨询活动 目目标标 以合理的成本促进有效的控制 目的是增加组织价值和改善织织的运 营 责责任任 帮助机构成员有效履行职责 帮助机构实现其目标 方方法法 对与被审核活动有关的信息进行分 析 评价 建议和咨询 系统化 规范化的方法 工工作作范范围围 通过检查和评价其他控制的适当性 和有效性来发挥作用 评价和改善风险管理 控制和治理过 程的效果 另外 内部审计和外部审计存在重大的区别 内内部部审审计计 外外部部审审计计 公司内部管理 治理机制 控制机制的 组成部分 完全独立于公司架构 对公司和董事局负责 对对公公司司股股东东负负责责 对公司的运营和财务工作进行审核 评 价 对公司年度财务报表是否真实 公允 发表意见 针对公司 管管理理层层关关注注 作重点调查 财务 或非财务范围 针对会计账簿 凭证和有关资料进行 实质性检查 6 136 非定期性 定期进行 例题 1 从现代内部审计的角度看 以下哪项声明表明内部审计活动是对管理层最为重要的 收益 a 确保已公布的财务报表的准确性 b 确保可以检查出舞弊活动 c 确保组织遵守法律规定 d 确保对日常的运营进行合理的控制 答案 d 2 建立内部审计活动的主要原因是 a 减轻过重的管理责任 建立有效的控制 b 安全保障委托给组织的资源 c 确保财务 经营信息的可靠性和完整性 d 评价并改进控制过程的效果 答案 d 例题 1 内部审计能提供确认和咨询活动 确认服务的范例是 a 顾问业务 b 协调性业务 c 培训业务 d 合规性业务 答案 d 2 乔治是 XYZ 公司新来的内部审计师 他曾在10 个月之前负责公司的薪酬工作 如果乔治开展以下哪项和薪酬有关的服务 将使独立性或客观性受损 a 咨询服务 b 确认服务 c 确认或咨询服务 d 既非确认服务 也非咨询服务 答案 b 在评估自己以前负责的具体业务时 内部审计师应该回避 倘若某位审计人员为自己 在以前年度中负责的活动提供了确认服务 可以假定客观性受损 标准1130 A1 因此 倘若乔治提供薪酬方面的确认服务 就可以认定其客观性受损 内部审计师可以对 他们以前负责的相关业务提供咨询服务 标准1130 C1 2 42 4 2121 世纪的内审行业世纪的内审行业 21 世纪的全球内部审计行业 在SOX COSO 内部控制 整体框架 COSO 企业 风险管理 整体框架 COBIT 框架 BASEL II 以及 PCAOB 有关准则的推动下 正在 迅速发展 行业地位明显改善 内部审计已成为有效公司治理的基石之一 7 136 2002 年 21 世纪的美国上市公司治理原则 发布 明确提出了有效公司治理的10 项原则 并得到IIA 及相关行业部门 管制部门的认同 他们相信 董事会 管理层 外部审计师和内部审计师构成了有效公司治理的基石 因此 内部审计在组织治理中的角 色大大提升 2002 年 萨班斯 奥克斯利法案 的出台 完全改变了财务审计 公司治理 外部 审计 内部审计机构的角色以及其他的众多规则 2 4 12 4 1 SOXSOX 法案的出台背景法案的出台背景 连续的会计丑闻是 萨班斯 奥克斯利法案 出台的直接原因 2001 年年底 美国安然 世通 施乐 默克制药 泰科等一批大公司会计丑闻接连曝光 诚信危机 震撼着美国及国际社会 为了提高民众对美国金融市场和政府经济政策的信心 2002 年 7 月 美国总统布什签署了 萨班斯 奥克斯利法案 SOA 这是一部管制美国上市公司 会计和审计实务的联邦立法 也称 上市公司改革和投资者保护法案 同年 美国上市公司会计监督委员会 PCAOB 成立 这是一家对公共会计师行业进行监 管 并制定财务审计准则的独立机构 它从从 A AI IC CP PA A 手手中中接接管管了了制制定定审审计计准准则则的的程程序序 内部审计迎来了发展的大好良机 2002 年 时代 周刊头一次将三位女性评选为 时代年度人物 从某种角度看 这三位女性都是 小人物 但她们涉及的是大问题 她们勇于 揭示政府机构与大公司中的问题 而政府机构和大公司都是民众生命财产的守护者 时代 周刊用两句名言阐释了她们行为的正当 马丁 路德 金说 我们的生命终止于我们对要紧事物沉默之时 人民公敌 中有句台词 社会就像一艘船 每个人都要准备掌舵 8 136 世世通通公公司司内内部部审审计计师师 辛辛西西娅娅 库库珀珀 C Cy yn nt th hi ia a C Co oo op pe er r 2002 年 揭发世通在以往年度隐瞒亏损 把应计当期费用资本化为固定资产 透过 折旧把当期费用分年摊销入损益表 调查结果 世通从2000 和 2001 年度原审核净利润76 亿美元和 24 亿美元调整 为净亏损 489 亿美元和 92 亿美元 虚增资产 少计费用及错计收入等共虚报利润高达 740 亿多美元 公布利润需要作出调整之后 股价由最高64 美元跌至最低0 9 美元 裁减员工 17 000 人 安安然然公公司司副副总总裁裁莎莎朗朗 沃沃特特金金斯斯 S Sh he er rr ro on n W Wa at tk ki in ns s 2001 年 10 月份 安然突然传出接近6 亿美元亏损的季度财务报告 调查结果 安然被迫承认做了假账 自1997 年以来 虚报盈利大约6 亿美元 并把即将到期的39 亿美元的债务隐瞒了24 亿美元 2001 年 11 月 28 日 曾高逾 90 美元的安然公司股票一天之内暴跌75 两天后 又跌至每股0 26 美元 股价缩水到不足高峰时期的0 3 12 月 2 日 安然向法院 申请破产保护 安然破产 不仅使数以千计的普通工人失业 JP 摩根 花旗银行等大财团的损失 也以百亿美元计算 联联邦邦调调查查局局干干员员科科琳琳 罗罗利利 C Co ol le ee en n R Ro ow wl le ey y 2002 年 5 月 她向联邦调查局局长米勒提交一份备忘录 强调联邦调查局并未重视她 早先对穆萨维的怀疑 以至丧失有可能避免 9 11 事件发生的机会 所以说 当前的内部审计正在走向前台 国内外上市公司的会计信息失真情况越趋严重 9 136 而当前推进内部审计职能发展的逻辑关系是 当然 内部审计也在面临挑战 其实 有关内部审计何处去的讨论早在2000 年 3 月就开始了 当时由J P 摩根 霍尼韦尔 花旗银行 美国股票交易所等全球知名公司发起 IBM 戴尔 科达 美 林 GE 普华永道等公司高层管理者参与的内部审计领导者论坛 就内部审计行业的发展 达成以下共识 中国的内部审计也在进步之中 全球内部审计导向在演变 全球内部审计职能在转变 10 136 全球内部审计的方法在改变 全球领先级的内部审计职能在七个主题方面的改变 全球企业对内部审计的期望在增加 中国在海外上市企业的治理结构受到挑战 内部审计职能的建设已引起高管层关 注 中国有关监管机构 如国资委 银监会 的内部审计法规正在相继出台 中国知名企业内部审计人员招聘正体现出现代内部审计工作的多样化 中中国国地地区区参参加加C CI IA A 考考试试的的人人数数近近年年已已达达到到全全球球报报名名人人数数的的三三分分之之二二 全全球球内内部部审审计计导导向向在在演演变变 全全球球内内部部审审计计职职能能在在转转变变 全全球球内内部部审审计计的的方方法法在在改改变变 11 136 全全球球领领先先级级的的内内部部审审计计职职能能 现现代代内内部部审审计计正正在在改改变变的的七七个个主主题题 12 136 领领导导层层 具有商业运作的背景 不再是单纯的职业审计人员 平均在任两年 两年至三年后转到其他岗位 具有前瞻性的观点以及更加深厚的经验 较 90 年代中期发生了本质的变化 组组织织特特性性 内部审计的领导者获得更高的重视 被看作是企业管理的强有力角色 可接触到最高管理层 在必要时有质询权 个个性性特特征征 非常进取 严格要求 目目标标重重塑塑 对风险和控制事项提供审计和咨询服务 最终目标 提供增值服务 注注重重价价值值 对风险 控制和治理过程进行独立评价 与企业运营单位是合作伙伴关系 为企业培育人力资本 优化运营活动 改改变变的的速速度度 企业整体更易于接受快速转变 电子商务 市场速度 的挑战 13 136 影响内部审计人才招聘和薪酬 人人力力 稳定人才和薪酬是主要的挑战 运营经验是持续提供增值的重要能力 金字塔型 变为 钻石型 的人力资源架构 更少的职业审计师 更多领域的专才 不仅仅是财会人员 电电子子商商务务 崭新的不断改进的商业模式 电子商务不仅仅是一种技术 对现行的活动带来新的风险 信息技术 信息系统审计益发重要 全球企业对内部审计的期望在增加 2 52 5 萨班斯萨班斯 奥克斯利法案奥克斯利法案 简介简介 2 5 12 5 1 法案的目标法案的目标 提高公司根据证券法或其他目的的要求做出披露的准确性和可靠性 加强公司治理 重建投资者的信心 2 5 22 5 2 法案的措施法案的措施 设立上市公司会计监督委员会 PCAOB 加强独立审计师的独立性 强化公司的责任以及审计委员会的责任 14 136 更新财务披露的 要求 设立了犯罪惩戒条款并进一步加强了白领犯罪的惩罚措施 管管理理层层在在新新法法案案下下需需要要承承担担的的法法律律责责任任C CE EO O 和和 C CF FO O 必必须须签签署署书书面面声声明明如如下下 a 302 条款 民事 管理层对财务报表的责任 审核了公司历史财务报告 确认财务报告的披露准确 完整 公允 承担责任 保证维护及评估财务报告出具的相关披露控制及程序 建立并且维护 披露控制和程序 的制度 生效 2002 年 8 月 29 日 b 404 条款 管理层对内部控制的责任 对公司设立和维持适当的财务报告内部控制系统负有责任 对公司内部控制在过去90 天内评估 并披露其效果 必须有足够的文本证 据 已向独立审计师和审计委员会披露了内部控制的重大缺陷 生效 在 2005 年 7 月 15 日当日或之后结束的首个财政年度结束时 c 906 条款 刑事 向美国证监会呈报的期报的责任 报告完全遵循美国1934 年证券交易法的规定和要求 在所有重大方面 其信息披露都要公允地反映了公司财务情况和运营 对于违反本条款 公司主管处罚额高达500 万美元 并可判处高达20 年的监禁 生效 2002 年 7 月 30 日 2 5 32 5 3 法案主要内容法案主要内容 a 对 财务报告的内部控制 的定义 引用 COSO 内部控制 整体框架 体系 包括 财产保管控制 以及 防止舞弊欺诈 的控制 b 管理层在年报中声明 管理层声明管理层有职责建立并保持一套完整的有关财务报告的内部控制体 系和程序 管理层对公司财政年底时财务报告内部控制的执行效果进行的评估 声明管理层评估内部控制所采用的框架标准 并由公司年报财务审计的会计 师事务所对管理层的财务报告内部控制评估进行特别审计并出具审计意见 PCAOB 第 2 号审计准则简介 1 PCAOB 于 2004 年 3 月 9 日发布了审计准则第2 号 与财务报表审计协同进行 的对对于于财财务务报报告告的的内内部部控控制制的的审审计计 2 该准则已于2004 年 6 月 17 是由美国证监会批准 成为审计师对财务报告的内 15 136 部控制进行审计的法律依据 3 明确了管理层的责任 a 识别评估对象 b 识别评估范畴 c 评估控制的失效风险 d 评估控制效果 e 评估缺陷的严重性 f 就主要发现与相关方面进行沟通 g 评估主要发现是否和评估结果相一致 4 审计师需要确定管理层是否开展了以上工作 5 准则明确了管理层在内部控制审计中应承担的责任 管理层对内部控制的效果负责 管理层应使用适当的标准 COSO 来评估公司内部控制的效果 管理层应取得并保留充分的证据 包括文本记录 作为其对内控评估的依据 管理层应从2005 年 12 月 31 日起 在公司年报中发表对于财务报告内部控 制效果的书面评估意见 6 准则要求审计师 评价管理层对内控的评估流程是否令人信服 以确保管理层评估结论是在合 理的基础上得出的 独立测试内部控制的效果 以确认管理层的评估是否正确 并得到了公允地 表达 因此 准则要求审计师在报告中发表两项意见 一项意见针对管理层的评估流程 另 一项意见则直接针对内部控制的效果 7 准准则则要要求求当当财财务务报报告告的的内内部部控控制制存存在在一一个个或或一一个个以以上上重重大大弱弱点点 m ma at te er ri ia al l w we ea ak kn ne es ss s 时时 审审计计师师必必须须对对公公司司内内部部控控制制的的效效果果发发表表否否定定意意见见 重重要要缺缺陷陷 s si ig gn ni if fi ic ca an nt t d de ef fi ic ci ie en nc cy y 是是一一个个内内控控缺缺陷陷 或或是是多多个个缺缺陷陷的的组组合合 负 面地影响公司依照公认会计准则可靠地进行初始 授权 记录 处理或报告对外财务数据 的能力 进而导致无法防范或发现公司年度或中期财务报表中存在并较为重要的错报 重重大大弱弱点点是是一一个个重重要要缺缺陷陷 或或是是多多个个重重要要缺缺陷陷的的组组合合 进而导致年报或中期报告 中显著错报不能被预防或发现的可能比较大 8 管理层需要对内部控制制定充分的文本记录 审计师将评价管理文件是否对管理层的评估提供了合理依据 以及这些记录是否包括 以下内容 与所有财务报表的重要会计科目和披露事项的相关认定的内部控制的设计 包括 对于财务报告有关的内部控制的五大要素 控制环境 风险评估 控制活动 信 息与沟通 监控 以及公司层面的内部控制的文本记录 重大交易如何初始 授权 记录 处理和报告的信息 16 136 关于交易流程的充分信息 以便能发现可能产生的重大错报 一般由于错误或舞 弊 为预防或发现舞弊而设计的控制 包括内部控制的责任人和相关职责分工 对于期末财务报告流程的内部控制 对于资产安全保障的内部控制 管理层测试和评价的结果 9 审计师的职责 审审计计师师需需针针对对每每一一个个影影响响重重要要会会计计科科目目或或会会计计科科目目的的主主要要交交易易类类型型 确确定定对对应应的的重重要要流流 程程 对于每一个重要流程 审计师应当 了解交易流程 包括交易是如何初始 授权 记录 处理和报告的 确定流程中可能产生相关财务报表认定错报的环节 包括由于舞弊产生的错报 明确管理层为防止潜在错报而实施的内控 明确管理层针对防止或及时发现未授权取得 使用或处置公司资产而实施的内控 10 准则要求审计师在每次年度审计中 对每个主要交易类别至少实施一次跟跟 单单作作业业 w wa al lk kt th hr ro ou ug gh h 在跟单作业中 审计师要从原始凭证开始 跟踪至公司的会计信息系统和财务报告的准 备流程 直至财务报表 跟单作业可以帮助审计师确定其对流程的了解是否准确 并为审计师评价财务报告的内 部控制设计效果提供必要的信息 内部控制测试 1 内部控制设计 准则要求审计师通过评估内控是否实现公司的内控目标 来评价内控设计的效果 准则还要求审计师通过执行内控测试来获得相应的证据 以证实与所有重要会计 科目和披露事项的相关财务报表认定相关的内控执行有效性 对对内内控控的的测测试试量量应应覆覆盖盖业业务务交交易易金金额额的的6 60 0 7 70 0 2 内部控制执行 每年 审计师都必须获取足够的证据来证明整个公司财务报告的内部控制 包括 对所有内控要素的内控 都得到有效的执行 同时准则要求审计师应当每每年年都都应应变变更更测测试试的的方方法法 3 2006 年 7 月 15 日之后 中国在美上市企业将面临SOA 考验 目前 许多中国公司都在内部控制流程的记录 文档准备和IT 控制活动的 测试方面花了很多时间 有的公司建立了涉及企业经营 IT 系统控制 投融 资管理 财务监控 法律法规监督等方面涵盖几百个风险点的内部控制体系 这 些是内部控制测评所要求的 硬件 程序 硬件 比较容易通过 相对公司 控制环境的 软件 而言 其实施难度要比 硬件 大得多 有些 控控制制环环境境 涉涉及及整整个个公公司司治治理理结结构构 已已超超出出了了C CE EO O C CF FO O 控控制制力力的的范范围围 为了少走一些较早实施 SOA 法案 美国公司已经走过的弯路 建议中国公司 应从一开始就注重实施公司治理层面的改进工作 例如 公司的CEO 和 CFO 应成为遵守内部控制制度的表率 充分发挥审计委员会和内部审计的作用 重视 对员工遵守职业道德的培训 严格执行职责分离 工作分配 岗位描述等方面的 17 136 规章制度 在公司内部形成一个自上而下有效贯彻内部控制的过程 2 20 00 06 6 年年 7 7 月月 1 15 5 日日之之前前 各各公公司司的的C CE EO O 和和 C CF FO O 还还要要为为对对外外披披露露的的财财务务报报告告的的可可 靠靠性性签签字字而而实实施施内内部部控控制制自自我我评评估估 由于在美国上市的中国公司大多都是规模 很大的公司 需要测试所有重要的控制点 如果某一个公司有30 个省级公 司或分公司 每个省级公司又有5 8 个市级公司 从流程上讲每个省级公司以 及分公司都会有10 多个或者更多的业务流程 每个业务流程有可能有5 10 个重要的控制点 如果用3 4 个小时测试一个控制点 计算下来 测试的工作 量非常庞大 而这只是初步的测试 对测试发现的问题还需要改进 随后对改进 的情况还需要进行再测试 从而达到没有重大的控制缺陷 1938 年 麦克森 罗宾斯丑闻 当时的 SEC 对内部控制实务的研究是 所有 审计关键的 基本的问题被很多会计师以一种草率的方式处理 因为在对财务报 表进行审核的过程中 对很多审核事项都采用测试和抽样程序 所以对我们来说 全面了解客户的内部审核和控制体系的必要性怎么强调也不过分 1949 年 会计职业团体提出第一个内部控制定义 内部控制包括在组织内部采用 的 以保证资产的安全性 检查会计数据的准确性和可靠性 提高运营效率 促 进管理政策的贯彻和实施为目的的计划 以及所有与之相协调的方法和措施 2 62 6 内部控制内部控制 整体框架整体框架 的由来的由来 2 20 0 世世纪纪 7 70 0 年年代代中中期期的的水水门门事事件件调调查查 确认出一些美国公司存在违反的政治捐赠 包括向国外政府官员贿赂 这样就产生了对内部控制的不断关注 反反国国外外贿贿赂赂法法案案 F FC CP PA A 1 19 97 77 7 美国国会根据 水门事件 调查结果举行了 听证会 并颁布了FCPA 包含有关会计和内部控制的条款 这些条款要求公司 管理层保持适当的簿记和记录 并设计内部会计控制系统 S SE EC C 1 19 97 79 9 SEC 提议了针对机构内部会计控制的强制性管理报告规则 这些 提议的规则还要求独立审计师的报告 密纳汉委员会 1979 AICPA 建立的有关内部控制的专门委员会 该委员会提 供了有关建立并评价内部控制的指南 科科恩恩科科员员会会报报告告 1 19 97 78 8 这份由 AICPA 发起的有关审计师责任的研究 建议 18 136 公司管理层在披露财务报表时附上一份披露公司内部控制制度的报告 该报告得 到了 FEI 的认可 财财务务经经理理人人研研究究基基金金会会 1 19 98 80 0 该研究的在内部控制上的主要贡献是对内部 控制特性 条件 做法和程序进行分类 特特雷雷德德威威委委员员会会报报告告 1 19 98 87 7 其主要目标是识别出欺诈性财务报告的偶然因 素 并建议减少这种偶然性 许多建议都针对内部控制 要求发起组织合作 来 统一内部控制概念和定义 2 6 12 6 1 COSOCOSO 内部控制内部控制 整体框架 整体框架 19921992 COSO 内部控制由 三三大大目目标标和和五五大大要要素素组成 1 三大目标 运营的效果和效率 财务报告的可靠性 遵守适用的法律法规 2 五大要素 控制环境 风险评估 控制活动 信息沟通 监控 3 在 C COSO 下 内部控制的定义为 受组织的董事会 管理层和其他人员影响的一个过程 内部控制的设计为组织以下目标的实现提供了合理的保证 内部控制是一个 过过程程 工工具具 它是达到目的的方式 内控本身并不是目的 内部控制 内内部部控控制制体体系系不不等等同同于于文文档档 还还涉涉及及到到执执行行的的问问题题 更更多多的的企企业业 是是执执行行的的问问题题 而而不不是是内内控控文文档档的的问问题题 问问题题在在于于 执执行行 的的阻阻力力来来自自于于 哪哪里里 来来自自于于哪哪些些方方面面 通过人起作用 它不是纯粹的政策手册和表格 而是通过组织中各个层次的人员起作用 19 136 内部控制可以被期望为对组织的管理层或委员会提供合合理理 的保证 但不 是绝对的保证 内部控制的目的是为了实现一个 多个独立但相互重叠的组组织织目目标标 关关 于于目目标标量量化化的的问问题题 彼彼得得 德德鲁鲁克克 你你无无法法测测量量他他 那那么么你你就就无无法法管管理理它它 4 对内部控制的态度 我们经常使用内部控制 但我们对它还有很多误解 因此 我们需要花些时 间来研究内部控制的本质和我们通过内部控制能得到什么不能得到什么 首先 强有力的内部控制系统意味着公司能够提高效率和效果 加强对外部 事物的控制能力 另外 人们可以得到可靠的相关信息 他们可以在合适的时间和地点来使 用 良好的管理和有效的内部控制可以保证一个组织随时处理出现的不利情 况 限制其不利影响 有效的控制可以给公司成员充分的自由度来发挥其判 断力和想象力 管理错误行为带来的风险 从而帮助公 司走向成功 可是 内内部部控控制制并并不不能能保保证证公公司司的的成成功功 内内控控的的目目的的在在于于防防止止最最坏坏 而而非非 实实现现最最好好 内内部部控控制制只只是是管管理理过过程程的的一一个个部部分分 而而不不是是全全部部 无论内部 控制设计得如何完美 执行得如何良好 它也只能对企业所要达到的目标提 供合理的保证 内内部部控控制制不不能能解解决决企企业业的的所所有有问问题题 内内部部控控制制只只是是一一种种防防范范机机制制 案例 摩托罗拉对内部控制的态度 20 136 S SO OX X 与与 C CO OS SO O 的的关关系系 2 6 22 6 2 企业内部控制发展的几个阶段企业内部控制发展的几个阶段 内部控制可靠性模型内部控制可靠性模型 21 136 1 1 不不可可靠靠级级 控制处在未经设计或不运行的未知环境中 2 2 不不正正式式级级 控制得到设计并运行 但没有适当的记录 控制多数情况下取决于人 对控制没有正式的培训或沟通 3 3 标标准准化化级级 控制得到设计并运行 控制得到记录并向员工沟通 有可能未能发现 控制的偏离事项 4 4 可可监监控控级级 定期测试标准化的控制 并向管理层报告 以有效的方式运用自动化 工具来支持控制 5 5 优优化化级级 管理层运用实时监控的内部控制整体框架 并持续改进 运用自动化工 具来支持控制 并在需要时准许机构对控制迅速做出变动 2 6 32 6 3 企业目标 风险和内部控制的关系企业目标 风险和内部控制的关系 企业目标 风险和内部控制的关系示例 目目标标 一一 风风险险 控控制制措措施施 短短期期目目标标 2005 年度实现利润 增长 10 其中 销售收入增长20 经营成本降低 15 长长期期目目标标 在未来五年内实现利 润平均每年净增长 10 由于不可靠的和不切实际 的销售预测 在进出口业务 中造成严重囤货和存货作废 由于履行不平等的或不利 的合同条款而造成严重损失 如赔偿损失 名誉损害 由于未经授权的折扣或 折扣过多造成毛利降低或 直接亏损 严重的坏帐损失 由于不适当的赏罚制度 关键员工的流失或管理人员 能力不足对业务造成的不利 影响 有效的编制和控制经营计划和财务 预算 采取措施增强销售预测的准确 性并且只承担经过衡量并能接受的风 险 比如 获得可靠的市场信息 将 实际情况与预算进行比较等 在主要的经营领域建立制度和流程 须涵盖集团总部的制度和流程 销售 采购 财务 投资等 人力资源管理 建立并贯彻制度和 程序 公平而有效的奖罚制度 吸收 教育 培训及保留优秀员工 建立并 贯彻职业经理人在责任 权利和义务 方面的标准 设置公平 客观和及时 的效绩考核系统 例题 1 在开展审计前 以下哪项调查的工作顺序列举了审计活动 编写详细的审计程序 22 136 确定被审计单位的目标 目的和标准 确定有关风险和控制 以便防止相关的损失 确定相关的审计目标 a 顺序是 b 顺序是 c 顺序是 d 顺序是 答案 d 2 6 42 6 4 COSOCOSO 框架的三个维度为评价内部控制提供了标准框架的三个维度为评价内部控制提供了标准 1 三个组成目标 运营的效果和效率 财务报告的可靠性 遵循适用的法律法规 2 五个组成要素 控制环境 风险评估 控制活动 信息和沟通 监控 3 要求机构层面关注和活动层面关注目标维度与要素维度 1 第一个目标针对机构的基本业务目标 包括绩效目标 赢利目标以及安全保障资 源 2 第二个目标与编制可靠的公开财务报表有关 包括中期财务报表 简明财务报表 以及从这些公开报表中选定的财务数据 比如盈余披露 3 第三个目标与机构遵守有关的法律法规有关 这些截然不同但又相互重叠的目标 类别针对不同的需求 需要直接关注来满足这些独立的需求 23 136 4 三类目标和要素之间有直接的关系 目标是一个组织努力去实现的 而要素则代 表了实现这些目标所必需的条件 所有要素都与每个目标分类相关 当提到任何一个目标 分类时 例如运营的效率和效果 所有五个要素都要存在并有效运行 这样才能 得出针对运营活动的内部控制是有效的结论 5 内部控制的基本定义 即受人们影响的一个过程 为组织目标的实现提供合理的 保证 同目标分类 构成要素 效果标准以及相关讨论一起 构成了内部控制的整体框架 2 6 52 6 5 五大要素的具体说明五大要素的具体说明 2 6 5 12 6 5 1 控制环境控制环境 设定管理基调 诚信和道德价值观 董事会和审计委员会参与 胜任能力 传达管理理念 管理理念和经营风格 组织结构 责权划分 管理层评定业绩的方法 外部影响 如监管部门的检查 人力资源政策和实务 作为审计师 1 审计师应该评估公司管理层的诚信情况 审计师无法在一个管理层既腐败又无道 24 136 德的环境中正常工作 2 审计师应当了解可能会引发企业管理层舞弊的情形 比如 缺乏足够的运营资本 不良信用等级等 3 审计师应该确认公司的董事会是否积极参与制定商务政策 是否监管管理层和公 司运作 一个独立的向董事会下属审计委员会报告工作的内部审计职能是一个优秀的环境 控制手段 4 从组织结构图和工作描述中 审计师可以评估公司内职能部门之间的职责分离是 否充分 适当 例题 2 以下哪项要素包含在控制环境中 a 组织构架 管理理念和规划 b 风险评估 职责安排以及人力资源做法 c 员工的胜任能力 辅助设备 法律和规章 d d 诚诚信信和和道道德德价价值值观观 权权限限划划分分 人人力力资资源源政政策策 答案 d 例题 3 以下哪项是董事会与管理层有关控制在组织中的重要性所持的态度或行动的最 为准确的语言 a 控制过程 b 控制环境 c 治理过程 d 管理理念和经营风格 答案 b 2 6 5 22 6 5 2 风险评估风险评估 风险评估是确认并估计相关风险 从而实现各项目标 为确定如何管理风险形成依据 1 每个机构都面临来自外部与内部的需要评估的各种风险 风险评估的前提条件是 建立各项目标 与不同的层面联系起来 并在内部保持一致性 2 隶属于内部控制要素的风险评估与管理人员的风险评估存在差别 由管理人员认 定的必要的相应计划 方案或其他措施是用于针对有关风险的 这些采取的行动是更大的 管理过程的关键部分 而不是内部控制系统的要素 风险评估的基本原则就是确认变化的情形并采取必要行动的一个过程 原因是由 于经济 行业 管制以及经营条件会持续发生变化 需要各种机制来确认并处理与 变革有关联的专门风险 虽然机构管理变革的过程与日常的风险评估过程较为相似 但还是要单独讨论这 个过程 因为它对有效的内部控制至关重要 且在日常应对问题的过程中很容易忽 略掉或没有引起足够的关注 例题 1 某公司计划建造一座新办公楼 与一承包商签订了3000 万美元固定价格 的承包合同 以以下下哪哪项项内内容容带带来来的的风风险险最最大大 a 对材料设备等实物保管不善 25 136 b 人工费用超支 c c 材材料料以以次次充充好好 d 工程不能及时完工 答案 c 首先要明白一个重要的概念 凡凡是是能能被被评评估估出出来来的的风风险险 都都能能够够进进行行相相应应的的控控制制将将 风风险险达达到到最最小小化化 a b d 都是可以明显被评估出来 c 则很难被事前评估出来 例题 2 审计师必须时时警惕舞弊行为存在的可能性 假定忽视对下述风险的控制 那 么 哪项舞弊或滥用资产的风险最大 a 总经理把组织和旅游娱乐基金用于一些值得怀疑的活动上 b 在采购活